compliance, governance e sicurezza nell’ict: tre … · 2015-03-07 · compliance, governance e...
TRANSCRIPT
COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?
COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?
13 Dicembre 2012
Saipem 2
Agenda
Il contesto
Il percorso
Saipem 3
Il contesto
Il percorso
Agenda
Saipem 4
Saipem Highlights Leading Global EP(I)C General Contractor
High quality player onshore and in niches offshore
Drilling
Key local employer and investorin strategic markets
Revenues (2011) 12.6 B€Backlog (June 30th, 2012) 20.3 B€
Employees 44,300 Engineers & Project Managers > 7,000
Operating in more than 70 countries,more than 50 permanent establishments,employees from 127 nationalities
Distinctive ‘frontier focus’ inOil & Gas industries
Full service EP(I)C provider
Most modern, technologicallyadvanced offshore construction fleet
Engineering & Construction
Saipem 5
Milan
Engineering CentresYards & Main Logistic BasesOther Main Areas and Rep. Offices
Fano
Chennai
Paris
Global Presence with a Multilocal Emphasis
(°) October 31st, 2012
Rome
Human Resources 44,297 employees of 127 nationalities (°)
EP(I)C Hubs
Saipem
Two Global Business Units
• Oil & Gas Production• Gas Processing, LNG, GTL, GTS • Import/Export Terminals• Pipelines and Oil & Gas Transportation
Systems• Refineries, Heavy Oils Conversion,
Chemical Plants
Sealines Subsea Field Development Fixed Facilities Floaters Subsea Services via Remote Technologies
Engineering and Construction
Drilling
Offshore high quality niche player & Onshore frontier focus
6
Saipem
Castoro Sei
Field Development / SURFLifting and DLB
Ultra-Heavy Lifting & deepwater pipelaying
Saipem 7000
Pipelaying
S355
Semac 1
Saipem FDS
Castoro 7
Castoro 2
Castoro Otto
Saipem 3000
Castorone
Saipem FDS 2
(Under construction)
Castoro 10
7
Saipem Assets: Offshore Construction VesselsSaipem offshore fleet exceeds 40 units
Saipem 8
Saipem 12000 (W.D.: 12.000 ft)Angola
Saipem 10000 (W.D.: 10.000 ft)Mozambique
Scarabeo 5 (W.D.: 6.500 ft)Norway – North Sea
Deep Water Units
Perro Negro 8 (W.D.: 350 ft)Italy
Perro Negro 7 (W.D.: 375 ft)Saudi Arabia
Perro Negro 6 (W.D.: 350 ft)Angola
Jack Up Units
Scarabeo 9 (W.D.:12.000 ft)Cuba
Scarabeo 8 (W.D.: 10.000 ft)Norway – North Sea
Selected Drilling AssetsFrom a total of 24 wholly-owned offshore units and almost 100 onshore rigs
5824– Helioportable Rig –Ecuador/Perù
5898 – 1500 HP Desert Enviroment –Algeria/Arabia
5946 – 3000 HP Winterized Rig Kashagan Field - Kazakhstan
Onshore Units
Saipem 9
Infrastruttura Saipem
Infrastruttura Windows
Infrastruttura WAN
Saipem 10
Il contesto
Il percorso
Agenda
Saipem
Compliance ICT
2006/2007
2012/2013
Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001
ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information
ISoC
2008/2011
11
Saipem
Compliance ICT
2006/2007Sarbanes-Oxley ActSarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05L.262/05
12
Saipem
Nuovo Perimetro
Revisione Matrice
Verifica del Disegno
Monitoraggio di
OperativitàGestione Carenze
Monitoraggio SOX/262: processo e modello organizzativo
COSO
Sarbanes-Oxley Act
Matrice dei Controlli Rischio Controllo Procedura di test
• SOX: da Eni• 262: da Saipem
Corporate IT Compliance• IT Risk Owner
• Referente di Attuazione del Monitoraggio• Team di Supporto/Monitoraggio
Local IT Operations• IT Control Owner
• Local IT Manager/IT Coordinator
Modello Organizzativo
Matrice dei Controlli
L.262/2005
COBIT
13
Saipem
Compliance ICT
2006/2007Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001ISO27001
2008/2011
14
Saipem 15
ObiettiviAdottare un sistema comune di gestione della sicurezza delle
informazioni e dei relativi processi ICT
Migliorare il livello di protezione di dati/informazioni contro minacce
interne/esterne e garantirne l'integrità, la disponibilità e la riservatezza
Creare una cultura aziendale condivisa in merito alla sicurezza ICT e volta
all’ottimizzazione dei processi
Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001
Annex A ISO27001
Requisiti di Business
Progetto ISO27001
Lo Standard ISO27001 come framework
Saipem
Invio Matrice Interviste Valutazione
controlliIdentificazione
gapCondivisione
risultatiRemediation
Plan
16
ISO27001: processo e modello organizzativo
Corporate IT Compliance• IT Lead Auditor
• IT Auditors• Team di Supporto/Monitoraggio
Remediation Plan
Local IT Operations• Local IT Manager/IT Coordinator
Modello Organizzativo
Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001
ASSESSMENT
Chiusura gapTest
(disegno/operatività)Implementazione
ActionCondivisione Action
PlanProposta Action
Plan
MONITORAGGIO
Coordinamento e Supporto “attivo”
~ 200 “contatti” mensili con Local IT Manager
20 Videoconferenze/mese 80 call conference/mese 100 email/mese
Saipem 17
Gli assessment ISO27001 (1/2)
Assessment ISO27001 eseguiti
Società Saipem
28 Assessments eseguiti 69 interviste effettutate 2952 controlli testati (2393 valutati) 38 Server Rooms visitate (~16,000
postazioni di lavoro) ~1300 applicativi censiti 154 procedure & 461 documenti
raccolti e analizzati 1135 gap identificati:
616 gap chiusi (test disegno/operatività)
228 gap aperti 145 gap in attesa Linee Guida
Corporate 98 test di operatività in corso 48 test di operativa pianificati
Saipem 18
Gli assessment ISO27001 (2/2)
Risultati Assessment
2012
A.5 - Security Policy A.6 - Organization of Information Security A.8 - Human Resources SecurityA.9 - Physical and Environmental SecurityA.14 - Disaster Recovery and Service Continuity ManagementA.15 - Compliance
A.7 - Asset Management A.10 - Communications and Operations Management A.11 - Access ControlsA.12 - Information Systems Acquisition, Development and MaintenanceA.13 - Information Security Incident Management
Saipem
Compliance ICT
2006/2007
2012/2013
Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001
ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information
ISoCISoC
2008/2011
19
Saipem 20
Il nuovo modello di Governance: L’Organizzazione
Organizzazione IT Dept.Organizzazione IT Dept.
2012
2006
Saipem 21
Il nuovo modello di Governance: ISoC
MATRICE DEI CONTROLLI
ISoC
Matrice dei Controlli
SOX Matrice dei Controlli
262
Matrice dei Controlli
ISO27001
IRESICT Regulations and
Standards
Assessment•IT Lead Auditor
• IT Auditors
Gestione•IT Risk Owner
• Referente di Attuazione del Monitoraggio
• Team di Supporto e Monitoraggio
Implementazione di un Information Security Management System
(certificazione ISO27001)
Saipem
ISoC: Le Procedure
Revisione Corpo Procedurale ICTRevisione Corpo Procedurale ICT
Processo di gestione
1. Pianificazione annuale2. Assegnazione di un owner per ogni procedura3. Monitoraggio di attuazione del piano (con KPI)
OBIETTIVO: Assicurare la Compliance a norme e Standard nazionali e internazionali
applicabli all’ICT e ai requisiti di business
ATTIVITÀ
AssessmentISO27001
Requisiti ICT e di business
Contesto legislativo e
StandardDRIVER
Modello Corporate STD Corporate Standard
Procedure
• Policy• Controlli• Segregation of Duties• Vincoli
WI Local Work InstructionWI Local Work InstructionWI Local Work Instruction
WI Local Work Instruction
• Processi• Ruoli e responsabilità
• Verifica Compliance a STD• Supporto all’implementazione
22
Saipem 23
Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese
ISoC: la Gestione del Rischio (1/2)
Electronic Data Classification & Risk Analysis ProgramRisk Analysis
Objective: Opportunity to know & mitigate or accept
remaining risk• Understand Risk remaining (Low, Medium or
High) Survey responded to by ICT (Security)
Manager Locally identified security threats analyzed
Data Classification
Objective: Opportunity to manage data and protection
measures according to its valueENI Approach:
Understand Value of data (Low, Medium orHigh)
Saipem 24
Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese
ISoC: la Gestione del Rischio (2/2)
Definizione Misure Minime Di Sicurezza nell’IT nei paesi a rischio
R
Disaster Recovery Plan
< ...
Disaster Recovery Plan
Piano di Sicurezza IT: servizi e asset critici + misure preventive per salvaguardarli
Piano di Crisi IT: azioni in caso di crisi socio-politica
> ...